Запрещённые действия на виртуальных серверах AlexHost: полная политика и техническое объяснение

Понимание того, что запрещено на виртуальном частном сервере, — это не просто вопрос чтения мелкого шрифта: от этого напрямую зависит, останется ли ваша инфраструктура в сети, сохранится ли репутация вашего IP-адреса и избежит ли ваш аккаунт немедленного удаления. AlexHost применяет строгую политику допустимого использования (AUP) ко всем планам VPS Hosting, чтобы защитить общую сетевую инфраструктуру, поддерживать репутацию IP-адресов во всей подсети и обеспечивать соответствие международному законодательству.

В этом документе подробно описана каждая запрещённая категория, техническое обоснование каждого ограничения, действующие механизмы применения политики и реальные последствия нарушений — включая сценарии, которые часто понимаются неправильно, например различие между преднамеренным злоупотреблением и скомпрометированным сервером.

Почему политики допустимого использования существуют в общей инфраструктуре

VPS, несмотря на логическую изоляцию посредством виртуализации на уровне гипервизора, всё равно использует общие физические сетевые каналы, блоки IP-адресов и иногда дисковый I/O совместно с соседними экземплярами на том же хост-узле. Когда один арендатор допускает злоупотребления — намеренно или в результате компрометации — последствия выходят за пределы его собственного экземпляра.

Ущерб репутации IP-адреса — наиболее немедленное и технически разрушительное последствие. Если один IP-адрес в подсети /24 попадает в списки SpamHaus, Spamcop или Spamhaus Block List (SBL), доставляемость почты для всех остальных серверов в этом диапазоне ухудшается. Обратные DNS-запросы завершаются неудачей, исходящие SMTP-соединения отклоняются, а законные компании, работающие на соседних IP-адресах, несут побочный ущерб, которого они не причиняли.

Именно поэтому применение политики не является опциональным, а пороги для принятия мер намеренно установлены низкими.

Категории запрещённой деятельности: техническое описание

Спам по электронной почте — исходящий и входящий

Преднамеренный спам по электронной почте в любом направлении строго запрещён. Это включает:

• Массовые рассылки нежелательной коммерческой электронной почты (UCE) через SMTP-ретранслятор
• Конфигурации открытого ретранслятора, позволяющие третьим лицам маршрутизировать спам через ваш сервер
• Засев входящих спам-ловушек или намеренный приём спама для отравления фильтров
• Операции «снегоступного» спама, распределённые по нескольким IP-адресам
• Скомпрометированные скрипты рассылок, используемые для отправки массовой нежелательной почты

Исключение для компрометации: Если ваш сервер был взломан и злоумышленник установил спам-скрипт (распространённый шаг после эксплуатации), AlexHost будет работать с вами для устранения проблемы, а не немедленно прекращать действие аккаунта — при условии, что вы оперативно отреагируете и продемонстрируете активные меры по устранению. Это исключение не действует бессрочно. Продолжение злоупотреблений после уведомления, независимо от заявленного статуса компрометации, влечёт приостановку обслуживания.

Техническое примечание: Современные системы обнаружения спама, такие как SpamAssassin, демоны политик Postfix и ограничители исходящей скорости, могут обнаружить аномальный объём SMTP в течение нескольких минут. Если ваш сервер внезапно отправляет 10 000 сообщений в час, это вызовет автоматические блокировки на сетевом уровне до того, как специалист рассмотрит случай.

Вредоносное ПО, эксплойты, ботнеты и вредоносные перенаправления

Хостинг или распространение любого из следующего запрещено без исключений:

• Вредоносные полезные нагрузки: загрузчики программ-вымогателей, трояны, кейлоггеры, инструменты удалённого доступа (RAT)
• Наборы эксплойтов: фреймворки эксплойтов на основе браузера (исторически: Angler, RIG, Magnitude)
• Инфраструктура управления и контроля (C2) ботнетов: IRC-боты, HTTP C2-панели, одноранговая координация ботов
• Скрипты скрытой загрузки: инжекторы JavaScript, незаметно загружающие вредоносное ПО посетителям сайта
• Вредоносные перенаправления: перенаправления на уровне .htaccess или DNS, направляющие пользователей на фишинговые домены или домены, распространяющие вредоносное ПО

Эти действия отслеживаются каналами разведки угроз, включая VirusTotal, abuse.ch, Emerging Threats и коммерческие SIEM-платформы. Как только IP-адрес сервера появляется в этих каналах, он попадает в чёрные списки баз данных антивирусных вендоров по всему миру — процесс, на обратное устранение которого могут уйти месяцы даже после удаления вредоносного контента.

Исключение для компрометации применяется и здесь на тех же условиях: немедленное уведомление, активное сотрудничество и демонстрируемые шаги по устранению.

Материалы сексуального насилия над детьми (CSAM) и контент с неопределённым возрастом

Эта категория имеет нулевую терпимость и не допускает исключений — включая исключение для компрометации. Запрещённый контент включает:

• Материалы сексуального насилия над детьми (CSAM) в любом формате
• Контент, изображающий инцест
• Зоофильный контент
• Любой контент с участием лиц, которые выглядят моложе 18 лет, независимо от заявленной верификации возраста

CSAM — это не просто нарушение условий обслуживания. Это уголовное преступление по законам практически каждой юрисдикции, включая Директиву ЕС 2011/93/EU, Закон США PROTECT Act и Уголовный кодекс Молдовы (AlexHost работает под молдавской юрисдикцией). Сообщения направляются в CyberTipline Национального центра по делам пропавших и эксплуатируемых детей (NCMEC) и соответствующие национальные правоохранительные органы без промедления.

Аккаунт немедленно и навсегда удаляется. Возврат средств не производится. Передача дела в правоохранительные органы осуществляется автоматически.

Кража, мошенничество и финансовые преступления

Запрещённые действия в этой категории включают:

• Фишинговые страницы, имитирующие банки, платёжные системы или государственные органы
• Порталы для сбора учётных данных
• Инфраструктура для мошенничества с поддельными счетами или банковскими переводами
• Хостинг кампаний социальной инженерии
• Сайты для вербовки денежных мулов

Организации по безопасности, включая национальные CERT, Рабочую группу по борьбе с фишингом (APWG) и команды по борьбе с мошенничеством финансовых учреждений, активно отслеживают подобные операции и направляют запросы на удаление непосредственно хостинг-провайдерам. Время реакции измеряется часами, а не днями. Нарушители сталкиваются как с удалением аккаунта, так и с передачей дела в правоохранительные органы, при этом журналы хостинга сохраняются в качестве потенциальных доказательств.

Мошеннические веб-сайты и цепочки перенаправлений

В отличие от прямого фишинга, эта категория охватывает:

• Поддельные интернет-магазины, собирающие оплату без доставки товаров
• Сайты с поддельными брендами (нарушение товарных знаков)
• Цепочки перенаправлений, предназначенные для сокрытия конечного пункта назначения от пользователей и сканеров безопасности
• Схемы монетизации трафика, построенные на обманных перенаправлениях

Эти операции часто пытаются использовать несколько уровней перенаправления — нередко через промежуточные домены, выглядящие легитимно, — чтобы избежать обнаружения. Анализ трафика на сетевом уровне и пассивный мониторинг DNS позволяют выявлять эти паттерны независимо от обфускации.

Кардинг и инфраструктура мошенничества с платёжными картами

Кардинг — это использование похищенных данных платёжных карт для совершения мошеннических покупок, а более широкая экосистема вокруг него включает:

• Форумы и торговые площадки по кардингу
• Скрипты проверки карт (обычно называемые «чекерами»)
• Базы данных дампов и фулзов
• Автоматизированные боты для кардинга, нацеленные на процессы оформления заказов в интернет-магазинах
• Хостинг скиммер-скриптов (JavaScript-инжекторы в стиле Magecart)

Это квалифицируется как серьёзное финансовое преступление по международному праву. Платёжные карточные сети (Visa, Mastercard) располагают собственными подразделениями разведки мошенничества, которые активно выявляют и сообщают о хостинговой инфраструктуре. Последствия включают немедленное удаление аккаунта, внесение IP-адреса в чёрные списки систем безопасности финансовых сетей и передачу дела в уголовные органы.

Атаки на государственные органы и критическую инфраструктуру

Хостинг инструментов, сервисов или координационной инфраструктуры для атак на государственные органы, критически важную национальную инфраструктуру или любые сторонние организации запрещён. Это включает:

• Сервисы сканирования уязвимостей, нацеленные на государственные сети
• Инфраструктура доставки эксплойтов для кампаний в стиле APT
• Платформы координации хактивизма
• Инструменты подстановки учётных данных, предварительно загруженные наборами данных государственных служащих

Исключение для компрометации применяется в узком случае, когда сервер был захвачен и использован в качестве точки перехода без ведома владельца — но это требует немедленного сообщения и полного сотрудничества с любым последующим расследованием.

Действия, вызывающие внесение IP-адресов в чёрные списки

Любые действия, в результате которых IP-адрес AlexHost появляется в основных репутационных блок-листах, запрещены. Соответствующие блок-листы включают:

Удаление из этих сервисов после включения в список занимает много времени и не гарантировано. Некоторые включения в списки, особенно в SpamHaus, требуют демонстрации устранения проблемы и могут занять несколько недель. Операционные издержки для AlexHost и соседних арендаторов значительны, поэтому эта категория рассматривается с той же серьёзностью, что и прямые злоупотребления.

DDoS-атаки — как входящее «тестирование», так и исходящие атаки

Это одно из наиболее технически неправильно понимаемых ограничений. Запрещены два различных сценария:

1. «Тестовые» DDoS-атаки против собственного сервера:

Генерация высокообъёмного атакующего трафика на IP-адрес вашего собственного VPS — даже в законных целях нагрузочного тестирования или тестирования защиты от DDoS — создаёт реальную перегрузку на общем канале. Сетевая инфраструктура не может отличить «тестовый» трафик от реальной атаки. Результатом являются потери пакетов, скачки задержки и ухудшение производительности для всех остальных клиентов в том же сетевом сегменте.

2. Исходящие DDoS-атаки против третьих лиц:

Использование арендованного сервера для участия в распределённых атаках типа «отказ в обслуживании» против любой цели или их организации является уголовным преступлением в большинстве юрисдикций (Закон о компьютерном мошенничестве и злоупотреблениях в США, Закон о компьютерных злоупотреблениях в Великобритании, аналогичные законы по всему ЕС). Это включает:

• Бэкенды сервисов стрессеров/бутеров
• Рефлекторы атак с усилением (DNS, NTP, memcached)
• Добровольное участие в ботнете
• Инструменты медленных атак на прикладном уровне (Slowloris, RUDY)

Злоупотребление ресурсами помимо DDoS: Даже паттерны трафика, не являющиеся атаками, но насыщающие общий канал или вызывающие чрезмерный дисковый I/O — например, неправильно настроенные операции майнинга криптовалюты, плохо написанные краулеры или вышедшие из-под контроля задания резервного копирования — подпадают под эту категорию применения политики.

Механизмы применения политики и путь эскалации

Применение политики AlexHost следует многоуровневой модели, хотя применяемый уровень полностью зависит от серьёзности нарушения:

Уровень 1 — Предупреждение и окно для устранения:

Применяется к первичным нарушениям меньшей серьёзности, когда владелец аккаунта выглядит готовым к сотрудничеству. Отправляется уведомление с конкретным сроком устранения.

Уровень 2 — Ограничение трафика или блокировка на уровне порта:

Применяется, когда VPS генерирует проблемные объёмы трафика, влияющие на соседние экземпляры. Блокировка исходящего SMTP-порта 25 является распространённым примером. Обслуживание продолжается, но с ограничениями.

Уровень 3 — Немедленная приостановка:

Применяется к серьёзным нарушениям (CSAM, активные DDoS-атаки, активная инфраструктура кардинга) без предварительного предупреждения. Экземпляр приостанавливается, данные сохраняются на время расследования, возврат средств не производится.

Уровень 4 — Постоянное удаление и передача дела в правоохранительные органы:

Применяется к нарушениям уголовной категории. Аккаунт навсегда закрывается, соответствующие журналы сохраняются, и дело передаётся в соответствующие органы.

Важно: Если ваш VPS создаёт проблемы для других пользователей — будь то трафик DDoS-атак, чрезмерное насыщение канала или аномальная нагрузка на дисковую подсистему — AlexHost оставляет за собой право немедленно ограничить ресурсы или прекратить обслуживание без предварительного уведомления. В таких случаях в качестве альтернативы может быть предложена миграция на Dedicated Server, полностью изолирующий вашу рабочую нагрузку от общей инфраструктуры.

Исключение для компрометации: что оно охватывает и что нет

Несколько запрещённых категорий включают оговорку «если только ваш сервер не был взломан». Это не является общей оговоркой об иммунитете. Это признание того, что законные операторы серверов могут стать невольными участниками злоупотреблений не по своей вине — и что наказывать их так же, как преднамеренных злоумышленников, контрпродуктивно.

Исключение для компрометации применяется, когда:

• Вы проактивно уведомляете AlexHost при обнаружении взлома
• Вы немедленно принимаете меры по локализации компрометации (отключение экземпляра, отзыв учётных данных, изоляция затронутого сервиса)
• Вы полностью сотрудничаете с любым расследованием
• Злоупотребление прекращается в разумное окно для устранения

Исключение для компрометации НЕ применяется, когда:

• Вы были уведомлены о злоупотреблении и не предприняли действий
• «Компрометация» используется как повторяющееся оправдание для многократных инцидентов
• Нарушение относится к категориям с нулевой терпимостью (в особенности CSAM)
• Вы пытаетесь продолжать эксплуатацию скомпрометированного сервиса, заявляя об устранении проблемы

Практические рекомендации по безопасности для предотвращения компрометации:

• Отключите аутентификацию по паролю в SSH; используйте только ключи Ed25519 или RSA-4096
• Запустите fail2ban или sshguard для блокировки попыток брутфорса
• Поддерживайте всё программное обеспечение в актуальном состоянии — пакеты ОС, веб-приложения, плагины CMS
• Используйте Web Application Firewall (WAF) перед любым публично доступным веб-приложением
• Отслеживайте исходящие соединения с помощью таких инструментов, как netstat, ss или auditd для обнаружения аномального поведения
• Настройте правила исходящего брандмауэра (iptables или nftables) для ограничения неожиданного исходящего трафика

Если вы используете почтовый сервер, рассмотрите возможность сочетания вашего VPS Hosting с правильно настроенной инфраструктурой Email Hosting, включающей встроенную фильтрацию спама и применение DKIM/DMARC/SPF, что снижает риск использования вашей почтовой инфраструктуры для спам-ретрансляции.

Сравнение: преднамеренное злоупотребление и скомпрометированный сервер — подход политики

Политика возврата средств при нарушениях

Этот пункт требует однозначной ясности: возврат средств не производится для аккаунтов, удалённых вследствие нарушений AUP, независимо от оставшегося периода обслуживания. Это применяется независимо от того, является ли удаление результатом преднамеренного злоупотребления или компрометации, которая не была устранена вовремя.

Эта политика существует потому, что издержки, возникающие в результате нарушений AUP — восстановление репутации IP-адреса, время сетевых инженеров, потенциальные правовые риски и ущерб соседним клиентам — нередко превышают стоимость прекращаемой подписки.

Выбор подходящей инфраструктуры для высоконагруженных или чувствительных рабочих нагрузок

Если ваш законный сценарий использования предполагает высокие объёмы исходящего трафика, интенсивную сетевую активность или рабочие нагрузки, которые могут быть ошибочно идентифицированы как злоупотребление автоматизированными системами, Dedicated Server обеспечивает полную физическую изоляцию от других арендаторов. Отсутствует конкуренция за общий канал, нет влияния на соседних арендаторов и предоставляется большая гибкость в настройке средств управления безопасностью на сетевом уровне.

Для рабочих нагрузок, требующих GPU-вычислений — включая инференс машинного обучения, рендеринг или научные вычисления — GPU Hosting предоставляет подходящий профиль ресурсов без риска срабатывания систем обнаружения злоупотреблений, разработанных для универсальных VPS-экземпляров.

Для стандартных веб-проектов с предсказуемыми и умеренными требованиями к ресурсам Shared Web Hosting предоставляет экономически эффективную среду с уже встроенными средствами контроля злоупотреблений на уровне платформы, снижая административную нагрузку на владельца аккаунта.

Технический контрольный список ключевых выводов

Перед развёртыванием любой рабочей нагрузки на VPS AlexHost убедитесь в следующем:

• SSH защищён: аутентификация по паролю отключена, используется только аутентификация по ключу, рассмотрен нестандартный порт
• Брандмауэр настроен: определены как входящие (INPUT), так и исходящие (OUTPUT) цепочки в iptables/nftables
• Почтовый сервер (если применимо): опубликованы записи SPF, DKIM и DMARC; включено ограничение исходящей скорости; пройден тест на открытый ретранслятор
• Программное обеспечение обновлено: пакеты ОС, веб-фреймворки, плагины CMS — все актуальны
• Мониторинг активен: мониторинг исходящих соединений, оповещение о неудачных попытках входа, обнаружение аномалий дискового I/O
• Резервные копии изолированы: задания резервного копирования запланированы в непиковые часы с ограничением скорости во избежание насыщения I/O
• Контент проверен: весь размещаемый контент проверен на соответствие категориям AUP перед публикацией
• План реагирования на инциденты: знайте, как быстро отключить ваш экземпляр при обнаружении компрометации
• Контакт службы поддержки сохранён: контактные данные поддержки AlexHost сохранены и доступны независимо от самого сервера

Часто задаваемые вопросы

Что произойдёт, если мой VPS будет взломан и начнёт рассылать спам до того, как я это замечу?

AlexHost различает преднамеренное злоупотребление и компрометацию сервера. Если вы получили уведомление о спаме, исходящем с вашего экземпляра, немедленно отреагируйте, отключите затронутый сервис и откройте тикет в службу поддержки с подробным описанием ваших шагов по устранению. Будет предоставлено разумное окно для устранения. Отсутствие реакции или повторные инциденты приведут к приостановке независимо от заявленного статуса компрометации.

Могу ли я запустить лабораторию для тестирования на проникновение или среду для исследований в области безопасности на VPS?

Исследования в области безопасности разрешены при условии, что всё тестирование ограничено инфраструктурой, которой вы владеете или на тестирование которой у вас есть явное письменное разрешение. Сканирование, зондирование или атака на любой сторонний IP-адрес — даже в рамках «контролируемого» упражнения — нарушает AUP. Для высокообъёмных тестовых сред настоятельно рекомендуется Dedicated Server, чтобы избежать какого-либо влияния на общую сетевую инфраструктуру.

Получу ли я предупреждение перед приостановкой аккаунта за нарушение?

Это зависит от категории нарушения. Первичные инциденты меньшей серьёзности, как правило, получают предупреждение со сроком устранения. Серьёзные нарушения — активное участие в DDoS, CSAM, инфраструктура кардинга — влекут немедленную приостановку без предварительного предупреждения. Уровень реагирования определяется серьёзностью нарушения, а не историей аккаунта.

Почему «тестирование» DDoS-атаки против собственного сервера запрещено?

Потому что физическая сетевая инфраструктура является общей. Высокообъёмный трафик, направленный на IP-адрес вашего VPS, проходит через те же каналы, которые используют другие клиенты на том же хост-узле и сетевом сегменте. Сеть не может отличить тестовый трафик от реальной атаки. Перегрузка, потери пакетов и задержки, вызванные вашим «тестом», реальны и затрагивают реальных клиентов.

Каков самый быстрый способ удалить мой IP-адрес из чёрного списка после компрометации?

Прежде всего полностью устраните источник злоупотребления — удалите вредоносные скрипты, смените все учётные данные, устраните эксплуатируемую уязвимость и убедитесь с помощью мониторинга исходящего трафика, что злоупотребление прекратилось. Затем отправьте запросы на удаление из списков непосредственно в каждый блок-лист (SpamHaus, SpamCop, AbuseIPDB — у каждого есть веб-порталы для удаления из списков). Одновременно уведомите службу поддержки AlexHost с доказательствами устранения. Некоторые блок-листы автоматически удаляют из списка после периода тишины; другие требуют ручной проверки. Включения в SpamHaus SBL в особенности требуют демонстрации устранения и могут занять несколько дней.